Evidencia por defecto | Developer Docs

Las revisiones de cumplimiento no deberían exigir perseguir capturas de pantalla y hojas de cálculo a posteriori. KLA Control Plane, la capa de seguridad, auditoría y gobernanza que aplica controles en el sitio y que envuelves alrededor de tus agentes de IA existentes, implementa Evidencia por defecto: cada verificación de seguridad, aprobación humana, llamada a herramientas y entrada del modelo se captura automáticamente, se despoja de datos personales y se sella en un registro a prueba de manipulaciones en el momento mismo en que ocurre. Para cuando un auditor lo pide, la evidencia ya existe.

Cómo funciona la canalización

La evidencia fluye a través de cuatro etapas, desde la telemetría en bruto hasta un artefacto portátil y verificable. Cada etapa refuerza el registro un poco más.

flowchart LR
  A["Spans de telemetría"] --> B["KLA Collector<br/>redacción de PII"]
  B --> C["Ledger ImmuDB<br/>pruebas Merkle"]
  C --> D["Sealed Evidence Bundle"]

Spans de telemetría. Tus agentes instrumentados emiten su actividad como spans estándar de OpenTelemetry, el estándar abierto para trazas distribuidas. KLA enriquece cada span con atributos semánticos de GenAI para que el qué, el por qué y el coste de cada paso sean datos de primera clase.
KLA Collector. El Collector redacta la información de identificación personal (PII) antes de que se almacene o transmita cualquier cosa, de modo que el contenido sensible nunca llega al ledger.
Ledger ImmuDB. Cada registro se somete a hash y se escribe en un ledger criptográfico de solo anexado que produce pruebas Merkle: huellas matemáticas que hacen detectable cualquier manipulación.
Sealed Evidence Bundle. Al exportar desde la Evidence Room, KLA empaqueta los registros relevantes junto con sus pruebas en un archivo autónomo y verificable de forma independiente.

ℹ️ Note

Un **Lineage Record** es el nombre que KLA da a una única traza de extremo a extremo de la ejecución de un agente. La canalización de Evidencia por defecto convierte cada Lineage Record en evidencia duradera y demostrable sin ningún paso adicional por parte de tu equipo.

Atributos semánticos para GenAI

KLA amplía OpenTelemetry con atributos diseñados específicamente para gobernar agentes de IA. Estos hacen que una traza sea legible para un responsable de cumplimiento, no solo para un desarrollador.

Atributo	Captura
`genai.agent.name`	La instancia del agente que realizó la acción
`genai.system.instructions`	El system prompt que dio forma al comportamiento del agente
`genai.tool.name`	La herramienta, base de datos o API que el agente invocó
`genai.tool.parameters`	Los parámetros exactos pasados a esa herramienta
`genai.cost.usd`	El coste en dólares atribuido al paso
`genai.token.usage`	Tokens consumidos, para comprobaciones de presupuesto y umbrales

Dado que estos son atributos estándar de OpenTelemetry, nunca quedas atrapado en un formato propietario. Los mismos spans pueden alimentar tu propio stack de observabilidad.

Redacción de PII en el borde

Los datos sensibles se enmascaran antes de salir de tu entorno, no después de que aterricen en algún lugar. Cuando la redacción está habilitada, el SDK y el Collector cooperan para mantener el contenido regulado fuera del rastro de evidencia:

Las entradas y salidas se analizan en busca de patrones comunes de PII (correos electrónicos, números de tarjetas de pago, identificadores nacionales), y las coincidencias se reemplazan con marcadores de posición como [REDACTED_EMAIL].
Los parámetros de herramientas que portan secretos (contraseñas, tokens, JWT) se enmascaran directamente dentro de genai.tool.parameters.
La redacción ocurre antes de la transmisión por red, de modo que los valores sin enmascarar nunca se almacenan en el ledger.

collector:
  redaction:
    enabled: true
    patterns: [email, credit_card, national_id]
    secret_fields: [password, token, authorization]

🛡️ Important

La redacción preserva la *estructura*, no los *secretos*. Un revisor puede confirmar que un agente consultó el registro de un cliente sin ver jamás los datos reales del cliente, satisfaciendo los requisitos de minimización y manteniendo la traza útil.

Anclaje criptográfico con ImmuDB

Para garantizar que la evidencia no pueda alterarse silenciosamente después de escribirse, KLA confirma cada registro en ImmuDB, una base de datos de ledger criptográfico de alto rendimiento.

Ledger de solo anexado. Los registros se escriben en una estructura de árbol Merkle. Las entradas existentes no pueden eliminarse, editarse ni reordenarse sin invalidar la cadena de pruebas.
Pruebas Merkle. Cada registro lleva un hash que se acumula en un hash raíz publicado. Cualquiera puede recalcular la cadena para confirmar la posición y el contenido exactos de un registro.
Sealed Evidence Bundles. Cuando exportas desde la Evidence Room, KLA adjunta la prueba Merkle de cada traza incluida, produciendo un artefacto portátil y verificable por terceros.

La verificación no depende de confiar en KLA. Un auditor recalcula las pruebas Merkle de un Sealed Evidence Bundle frente al hash raíz publicado y confirma por su cuenta que la evidencia es auténtica y no ha sido modificada. La verificación independiente es la razón de ser.

curl https://api.kla.digital/v1/evidence.bundle?lineageId=ln_9f2c \
  -H "Authorization: Bearer $KLA_ACCESS_TOKEN" \
  -H "x-tenant-id: acme-prod" \
  -o evidence-bundle.zip

💡 Tip

Agrupa un Lineage Record junto con la decisión de política que lo gobernó (`allow`, `warn`, `require_approval` o `block`) y cualquier aprobación de Decision Desk, para producir una historia completa y defendible de la ejecución de un único agente en un solo archivo.